10 Passos para um site seguro WordPress

Você precisa tomar a segurança WordPress sério. Aqui estão 10 falhas de segurança pode fechar hoje.

A+ A-

image of wordpress logo

Todos os dias, alguns relatório assustador sobre um grande local que está sendo cortado ou um banco de dados sensíveis sendo comprometida bate na web ... e assusta todos para fora.

Na semana passada, em preparação para uma entrevista sobre meu trabalho em de Copyblogger conseguiu WordPress hospedagem divisão , eu galinha-riscado uma lista dos 10 dicas para manter o seu site (s) WordPress seguro.

Temos vindo a discutir a segurança WordPress muito mais no blog de ​​Síntese, aqui , aqui , e mais especialmente aqui ), mas nos dias de hoje, você não pode ser seguro o suficiente, certo?

Vale a pena o seu tempo para olhar sobre esta lista de dicas de segurança, e tomar as algumas ações simples para implementá-las. Como seguro é o seu site?

Vamos passar por cima o básico agora ...

Por que levamos a segurança muito a sério WordPress?

Por toda a conversa de segurança? Porque ficar vigilantes sobre a segurança é uma responsabilidade permanente para qualquer proprietário de site WordPress.

Na verdade, é uma responsabilidade permanente para todos em linha, se você estiver usando o WordPress ou não.

Então, vamos continuar a discutir isso aqui tanto quanto, se não mais, do que o desempenho. Hey, sub-segundo tempos de carregamento são grandes, mas não se você está hospedando os links ocultos para sites de Viagra ou o Google está sinalizando seu site como malware-infectados.

Eu sei que a segurança pode às vezes ser um assunto nebuloso, obtuso. Se você não tem uma formação técnica, os riscos e as garantias necessárias pode ser difícil de compreender.

Você não está sozinho.

Quando lancei primeira Fãs Midwest Sports cerca de quatro anos atrás, eu não poderia ter dito a você a diferença entre DDOS e Mike Doss . Eu estava entre as fileiras daqueles que usaram a mesma palavra-passe para o meu login MSF admin como para a minha conta do Gmail ... e minha conta bancária ... e, você começa a idéia.

Com o tempo, aprendi a importância de levar segurança a sério. Algumas das lições não eram agradáveis. Mas eles me com o conhecimento para ser capaz de educá-lo em passos simples que você pode tomar agora para tornar seu site mais seguro.

Enquanto você lê esta lista, considerá-lo menos uma "lista top 10" e mais de uma lista de verificação. Se você se deparar com um, dois, ou dez desses que você não pode verificar mentalmente fora como sendo parte de seu arsenal de segurança atual, pare de ler e ir implementá-lo.

Deixe este motivá-lo: vemos entre 50,000-180,000 tentativas de login não autorizadas a cada dia nos locais que de acolhimento. A grande maioria destes são hackers utilizando técnicas de força bruta para entrar em sites e causar estragos. É possível, talvez até provável, que a meio caminho de hackers em todo o mundo está tentando invadir seu site neste momento ...

manter wordpress garantir

... Espero que sua senha não é password123.

E agora, para o mais importante lista de top 10 você vai ler toda a semana:

1. Manter senhas fortes

Vamos começar a lista com o passo mais fácil você pode implementar imediatamente. Esperamos que você já tem.

Se não, não procrastinar em um presente.

Tenho ligado a este post antes, e eu vou ligar para ele de novo: "Proteção de senha: Como criar senhas fortes" da PCMag. Eu usei uma série de dicas listadas no cargo para reformar completamente a minha estratégia de senha pessoal.

Levar isso a sério.

Desculpas como: "Mas eu quero uma senha para todos os meus sites para que eu não vou esquecer!" Ou "Meu (genérico) senha é bom o suficiente, e quais são as chances de que alguém está realmente indo para tentar me cortar? "não são aceitáveis.

Se você não estiver usando uma senha que é pelo menos dez caracteres, com números e letras, maiúsculas e minúsculas ... você está fazendo errado. Faça certo. Especialmente este.

2. Sempre mantenha-se com atualizações

atualizações WordPress não são apenas lançado para os resultados da pesquisa do Google Notícias. Eles são liberados para corrigir bugs, introduzir novas funcionalidades, ou, mais importante, para corrigir falhas de segurança.

Vai WordPress (ou qualquer programa de software, para que o assunto) estar sempre um passo à frente dos hackers? Claro que não. Pelo contrário. Para a maior parte, como acontece com o teste de drogas para melhorar o desempenho em esportes, o software é sempre vai ser um passo atrás dos hackers. Isso é apenas como vai ser, é o mundo em que vivemos.

Mas quando grandes falhas de segurança são conhecidos - e os remendos estão disponíveis - não há nenhuma desculpa para não implementá-las. Assim, não há nenhuma desculpa para não acompanhar as atualizações WordPress. O mesmo vale para plugins e temas.

Eu sei que muitos de vocês sentem medo quando se trata de atualizar WordPress, com medo de que ele pode quebrar o seu tema ou interromper a funcionalidade de um plugin. Minha resposta para isso é simples: se você está com medo dele, então você precisa reavaliar seu tema e estratégia de plugin. Seu tema certamente são interrompidos quando um hacker injeta metade de uma página de um código criptografado desagradável para ele.

Um dos benefícios de investir em um quadro tema WordPress como Genesis é que nossa divisão de StudioPress terá o Quadro Genesis atualizada damn perto instantaneamente quando uma atualização WordPress é liberado. Na verdade, há uma boa chance de que eles tinham de entrada no WordPress atualizar-se! Então, você nunca tem que se preocupar com a sua quebra tema.

Quanto plugins, é por isso habilitação plugins é tão importante. Se um plug-in não é atualizado regularmente, ou você não está pagando por suporte, então você deve ter medo dele, possivelmente, rompendo com uma atualização do WordPress. Assim, você pode querer repensar a usá-lo em tudo.

3. Proteja o seu acesso de administrador WordPress

Se você alterar o nome do usuário padrão "admin" que cada instalação do WordPress começa com? Certamente você pode. Certamente não vai doer.

Só sei que não é o auge de medidas de segurança. Os hackers podem encontrar usernames bastante facilmente de posts ou em outros lugares.

Mais importante do que disfarçar o nome de usuário administrador específica é certificar-se que cada nome de usuário do seu site com acesso de administrador é protegida por uma senha forte. (Sim, eu estou me referindo-lo de volta para o # 1 nesta lista.)

E, se você realmente quer proteger o seu site, vá a etapa extra de exigir um Yubikey de login. Dessa forma, mesmo se alguém tem a senha para um nome de usuário com acesso de administrador, ele ou ela não pode entrar sem possuir fisicamente o Yubikey (que é facilmente utilizada através de inserção USB simples quando é entrar tempo).

E não, não é um aborrecimento. É a paz de espírito.

4. Proteja-se contra ataques de força bruta

Lembre-se a estatística que citei acima? Vale a pena citar de novo: vemos entre 50K e 180K de login falhou tenta um dia nos locais que de acolhimento. O site que você está lendo agora ( Copyblogger no caso de você estiver lendo de algum modo uma raspadeira site) vê 275 tentativas de login não autorizadas ... a cada hora.

Antes de passar para fora com a magnitude desse número, sei que você está longe de ser impotente contra estes, hack tentativas sem rosto sem nome.

Em primeiro lugar, o seu host deve estar ajudando a protegê-lo de ataques de força bruta. Nós fazemos. Nós monitoramos regularmente, onde tentativas de login estão vindo e, em seguida, bloquear os endereços IP ofensivos.

Em segundo lugar, certifique-se de ter verificado off dicas 1, 2 e 3 acima.

Em terceiro lugar, existem programas que podem ser instalados (tais como tentativas Limite de Acesso ) que irá torná-lo muito mais difícil para técnicas de força bruta para trabalhar.

5. Monitorar de malware ...

É imperativo que você tem algum tipo de sistema para monitorar constantemente o seu site para malware.

O pessoal da Sucuri fazer isso tão bem quanto qualquer um, e é por isso fizemos uma parceria com eles para a digitalização do lado do servidor que fazemos para todos os nossos clientes.

Como você monitora é de vital importância. Escolha um método que pode realmente mergulhar em sua estrutura de arquivos e detectar falhas profundas, ao invés de um que apenas mostra onde você está vulnerável.

6. ... Em seguida, fazer algo sobre malware!

Monitoramento de malware não é uma solução em si. A solução é o que acontece quando malware é detectado.

Se você não é um cliente Síntese, a equipe Sucuri é um grande para você fazer parceria com eles, porque não só vai procurar por malware, eles vão ajudá-lo a limpá-lo uma vez que é detectada.

E se você é um cliente Synthesis, você já sabe que vai assumir o trabalho de limpeza e reparação de seu site, caso algo de ruim acontecer com ele.

Um par de os oft-negligenciado "verdadeiros custos" de propriedade WordPress são aqueles associados com o tempo de inatividade devido a questões de segurança e limpeza essas questões. Isso faz parte da proposta de valor que devem ser enroladas em oferta do seu provedor de hospedagem gerenciada.

7. Escolha o direito web host

Eu já disse a você sobre a digitalização do lado do servidor e garantia de limpeza de malware que damos todos os nossos clientes. E isso está longe de ser a única razão pela qual nosso WordPress hospedagem é uma ótima escolha para o usuário WordPress consciente de segurança. Apenas dizendo.

Um grande risco de segurança está sendo em um servidor compartilhado. Pense nisso desta maneira: assumir os riscos de segurança inerentes a sua própria instalação WordPress, então multiplicá-lo pelo número de sites no servidor. E se você ir com hospedagem genérica, as chances são que você vai ser consideradas em conjunto com centenas e centenas de outros sites.

não.

Sua própria VPS pode não a opção certa para você. Pode ser muito caro, ou o seu tráfego não pode exigir isso. Isso é bom. Mas se você está indo estar em um servidor compartilhado, verifique se ela é compartilhada com apenas um pequeno número de sites (os nossos servidores compartilhados não têm mais de 10 locais) em uma pilha de hospedagem que tem provado salvaguardas para protegê-lo.

Além disso, encontrar um host que não se complacente com a segurança.

Quem teria a pretensão de "ter a segurança descobriu" não tem nenhuma pista. Segurança on-line está em constante mutação. Web hosting empresas precisam evoluir constantemente com que a paisagem mudando, e as ameaças a vir com ele. Certifique-se de quem você confia no seu site para operar com esta mentalidade.

8. Limpe seu site como você limpar sua cozinha

Você sabia que a sua instalação WordPress poderia facilmente ter bombas-relógio sentado sobre ela que você não está ciente de?

Se tiver velhos temas e plugins que você não está usando mais, especialmente se eles não foram atualizados, basicamente você pode ir em frente e começar a contagem regressiva para a sua próxima falha de segurança. Um local confuso também torna muito mais difícil para os profissionais de segurança para operar deve seu site ser comprometida.

Você não deixaria pratos sujos e silverwear sentado em água parada por três dias em sua pia você faria? Claro que não. Seria um terreno fértil para sujeira e lama.

Então, limpar e organizar sua estrutura de arquivos como você faria sua cozinha. Ele irá mantê-lo seguro em mais de uma maneira.

Se você está perguntando, 'Por onde eu começo? " Comece na raiz. Compare sua lista de arquivos para o de o núcleo WordPress padrão . Alguns arquivos extras, como o seu favicon? OK. Duas vezes o número de arquivos, incluindo apresentações em Power Point para o trabalho? Tempo para fazer alguns pratos ...

informações sensíveis 9. Controle

E quando você está fazendo que a limpeza de sua estrutura de arquivo, verifique se você não está deixando bits de informação valiosa disponível para todo o mundo ver.

Por exemplo, o arquivo readme.html por padrão vai dizer qual a versão do WordPress você está executando. Se você estiver executando uma versão mais antiga do WordPress com uma falha de segurança conhecida, os hackers irão encontrá-lo.

Da mesma forma, olhar para o seu phpinfo.php ou arquivos i.php. Eles vão dizer a tudo hackers acerca da sua configuração e servir como um "mapa do caminho para a casa" antes mesmo de quebrar.

E deixando de banco de dados .sql arquivos de backups é um grande não-não. Se um hacker pode fazer o download do banco de dados inteiro eles terão cada nome de usuário e senha criptografada que você já usou a sua disposição.

Enquanto o seu anfitrião do Web site deve ser a digitalização de itens como este, por que deixar nada ao acaso? Você não iria sair de sua porta da frente sem calças (pelo menos eu espero que não!) ... Por isso não executar o seu site assim.

10. Fique atento

Este é um é muito fácil de explicar. Basta ficar em cima do que está acontecendo lá fora.

Você não precisa entender os meandros de um ataque DDOS ou despejar um blog sobre GoDaddy sendo tomadas para baixo . Mas quando uma questão como o fiasco timthumb eleva sua cabeça feia, você está ciente disso? A detecção precoce é a melhor prevenção.

Você deve estar com uma série WordPress conseguiu que tem a sua volta, mas nunca é demais para ter o seu próprio também.

Siga contas de Twitter como Sucuri de ou o nosso , onde nós vamos atualizá-lo quando ouvimos falar de questões de segurança relevantes que afetam a web. E apenas manter os olhos abertos. Não pense que as questões de segurança são apenas afetando esses outros sites. Eles poderiam facilmente estar afetando o seu.

Respeitar o teu inimigo, como eles dizem.

Para você ...

Mais importante ainda, precisamos respeitar a natureza crítica de levar a segurança do website sério.

Os dez passos acima não são as únicas garantias de segurança que você deve estar pensando, mas eles são um começo bem-arredondado, especialmente para aqueles que podem ter problemas para implementar os princípios.

Agir sobre essas dicas e você terá as medidas de segurança essenciais WordPress no lugar.

Quaisquer outras dicas de segurança WordPress lá fora? Deixá-los nos comentários abaixo ...